《信息安全》复习提纲概述.(2)

密、机密、限制和无级别五级来划分。

第6章网络威胁

1、木马病毒程序的组成。

控制端程序(客户端)：是黑客用来控制远程计算机中的木马的程序；

木马程序（服务器端）：是木马病毒的核心，是潜入被感染的计算机内部、获取其操作权限的程序；

木马配置程序：通过修改木马名称、图标等来伪装隐藏木马程序，并配置端口号、回送地址等信息确定反馈信息的传输路径。

2、Ping of Death的原理

利用多个IP包分片的叠加能做到构造长度大于65535的IP数据包。

攻击者通过修改IP分片中的偏移量和段长度，使系统在接收到全部分段后重组报文时总的长度超过了65535字节。一些操作系统在对这类超大数据包的处理上存在缺陷，当安装这些操作系统的主机收到了长度大于65535字节的数据包时，会出现内存分配错误，从而导致TCP/IP堆栈崩溃，造成死机。

3、Smurf攻击原理。

Smurf攻击是以最初发动这种攻击的程序Smurf来命名的，这种攻击方法结合使用了IP地址欺骗和ICMP协议。

当一台网络主机通过广播地址将请求包发送给网络中的所有机器，网络主机接收到请求数据包后，会回应一个响应包，这样发送一个包会收到许多的响应包。

Smurf构造并发送源地址为受害主机地址、目的地址为广播地址的请求包，收到请求包的网络主机会同时响应并发送大量的信息给受害主机，致使受害主机崩溃。

如果Smurf攻击将回复地址设置成受害网络的广播地址，则网络中会充斥大量的响应包，导致网络阻塞。

7、DNS服务器污染的原理和欺骗攻击过程。

9

《信息安全》复习提纲概述.

欺骗攻击过程：Client的DNS查询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相互对应的。在进行域名解析时，Client首先用特定的ID号向DNS Server发送域名解析数据包，这个ID是随机产生的。DNS Server找到结果后使用此ID给Client发送应答数据包。Client接收到应答包后，将接收到的ID与请求包的ID对比，如果相同则说明接收到的数据包是自己所需要的，如果不同就丢弃此应答包。

第7章网络防御

1、静态包过滤、动态包过滤的原理。

静态包过滤是指防火墙根据定义好的包过滤规则审查每个数据包，确定其是否与某一条包过滤规则匹配。此类防火墙遵循“最小特权”原则，即明确允许那些管理员希望通过的数据包，禁止其它的数据包。

动态包过滤是指防火墙采用动态配置包过滤规则的方法。采用了一个在网关上执行安全策略的软件引擎，即检测模块，检测模块抽取相关数据对通信的各层实施监测分析，提取相关的通信状态信息，并对动态连接表进行信息存储和更新，为下一个通信检查提供积累数据。这些监测分析数据可以作为制定安全策略的参考。一旦某个访问违反安全规定，安全报警器会拒绝该访问并记录报告。

2、什么是NAT？两种工作方式的特点？

NAT（网络地址转换）：是一种用于把内部IP地址转换成临时的、外部的、注册的IP 地址的标准。

3、VPN的实现依赖什么技术？此技术的基本过程？

依赖隧道技术，基本过程是可以模仿点对点连接技术，依靠ISP和NSP在公用网中建立自己的专用“隧道”传输数据。

4、IDS

进行入侵检测的软件和硬件的组合，一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。

5、入侵检测系统的通用模型CIDF的构成及各部分的功能。

?主体（Subjects）：启动在目标系统上活动的实体，如用户

?对象（Objects）：系统资源，如文件、设备、命令等。

?审计记录（Audit records）：由构成的六元组。

?活动：是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等；

?异常条件：是指系统对主体的该活动的异常报告；

?资源使用状况：是系统的资源消耗情况，如CPU、内存使用率等；

?时间戳：是活动发生时间。

?活动轮廓：用以保存主体正常活动的有关特征信息；

?异常记录：由事件、时戳、轮廓组成，用以表示异常事件的发生情况。

?活动规则：组成策略规则集的具体数据项。

7、Snort系统的构成及各部分的功能。

Snort系统包括数据包捕获模块、预处理模块、检测引擎和输出模块四部分组。

预处理模块：负责对流量进行解码和标准化，处理后的数据包以特定结构存储，以便检测引擎模块能匹配特征；

数据包捕获模块：利用系统工具在物理链路层捕获原始数据包(客户端向服务器传输时未被修改的最初形式的包)；

9

《信息安全》复习提纲概述.

检测引擎：核心部件，负责规则分析和特征检测，依据预先设置的规则检查数据包，一旦匹配，通知输出模块报警；

输出模块：以灵活、直观的方式将输出内容呈现给用户

第8章网络安全协议

1、IPSec中包括两个基本协议？

①AH（认证头）协议：为IP数据包提供3中服务

数据完整性验证（通过哈希函数产生的校验来保证）、数据源身份验证（通过计算验证码时加入一个共享密钥来实现）、防重放攻击（AH报头中的序列号可以防止重放攻击）②：ESP（封装安全负载）协议：除了为IP数据包提供AH已有的3中国服务外，还提供另外两种服务

数据包加密（对一个IP包进行加密，可以是对整个IP包，也可以只加密IP包的载荷部分，一般用于客户端计算机）、数据流机密（一般用于支持IPSec的路由器，源端路由器并不关心IP报的内容，对整个IP包进行加密后传输，目的端路由器将该包解密后将原始包继续转发）

2、IPSec中两个安全数据库？

SAD（安全联盟数据库）并不是通常意义上的“数据库”，而是将所有的SA以某种数据结构集中存储的一个列表。

SPD（安全策略数据库）也不是通常意义上的“数据库“，而是将所有的ＳＰ以某种数据结构集中存储的列表。

3、IPSec的两种工作模式的特点并附图说明（图8.5）。

这两种模式的区别非常直观——他们保护的内容不同，后者是整个IP包，前者只是IP 的有效负载；

①：传输模式：只处理IP有效负载，并不修改原来的IP协议报头。这种模式的优点在于每个数据包只增加了少量的字节。传输模式的IP报头是以明文方式传输的，因此很容易遭到某些通信流量分析攻击，但攻击者无法确定传输的是电子邮件还是其他应用程序的数据。

②：隧道模式：原来的整个IP包都受到保护，并被当做一个新的IP包的有效载荷。它的优点在于不用修改任何端系统就可以获得IP安全性能，同样还可以防止通信流量分析攻击，并且不暴露网络内部的结构。

4、SSL协议族包括四个协议？

由SSL记录协议、SSL握手协议、SSL转换密码规范协议和SSL警报协议组成的。

5、SSL记录协议对应用层数据文件的处理过程。

SSL记录协议接收传输的应用报文，将数据分片成可管理的块，进行数据压缩（可选），应用MAC，接着利用IDEA、DES、3DES或者其它加密算法进行数据加密，最后增加由内容类型、主要版本、次要版本和压缩长度组成的首部。被接收的数据刚好与接收数据工作过程相反，依次被解密、验证、解压缩和重新装配，然后交给更高级用户。

每个SSL记录包括的信息：内容类型、协议版本号、长度、数据有效载荷、MAC

6、电子信封的产生和使用过程。（图8.22）

9

《信息安全》复习提纲概述.

电子信封是公钥密码体制在实际中的一个应用，是 …… 此处隐藏：2566字，全部文档内容请下载后查看。喜欢就下载吧 ……